Вложенные атрибуты недопустимые параметры

127

У меня есть Billобъект, в котором много Dueобъектов. DueОбъект также принадлежит к Person. Мне нужна форма, которая может создавать объект Billи его дочерние Duesэлементы на одной странице. Я пытаюсь создать форму, используя вложенные атрибуты, похожие на те, что в этом Railscast .

Соответствующий код приведен ниже:

due.rb

class Due < ActiveRecord::Base
    belongs_to :person
    belongs_to :bill
end

bill.rb

class Bill < ActiveRecord::Base
    has_many :dues, :dependent => :destroy 
    accepts_nested_attributes_for :dues, :allow_destroy => true
end

bills_controller.rb

  # GET /bills/new
  def new
      @bill = Bill.new
      3.times { @bill.dues.build }
  end

счета / _form.html.erb

  <%= form_for(@bill) do |f| %>
    <div class="field">
        <%= f.label :company %><br />
        <%= f.text_field :company %>
    </div>
    <div class="field">
        <%= f.label :month %><br />
        <%= f.text_field :month %>
    </div>
    <div class="field">
        <%= f.label :year %><br />
        <%= f.number_field :year %>
    </div>
    <div class="actions">
        <%= f.submit %>
    </div>
    <%= f.fields_for :dues do |builder| %>
        <%= render 'due_fields', :f => builder %>
    <% end %>
  <% end %>

счета / _due_fields.html.erb

<div>
    <%= f.label :amount, "Amount" %>        
    <%= f.text_field :amount %>
    <br>
    <%= f.label :person_id, "Renter" %>
    <%= f.text_field :person_id %>
</div>

ОБНОВЛЕНИЕ до bills_controller.rb Это работает!

def bill_params 
  params
  .require(:bill)
  .permit(:company, :month, :year, dues_attributes: [:amount, :person_id]) 
end

Соответствующие поля отображаются на странице (хотя и без раскрывающегося списка Person), и отправка прошла успешно. Однако ни один из дочерних взносов не сохраняется в базе данных, и в журнал сервера выдается ошибка:

Unpermitted parameters: dues_attributes

Непосредственно перед ошибкой в ​​журнале отображается следующее:

Started POST "/bills" for 127.0.0.1 at 2013-04-10 00:16:37 -0700
Processing by BillsController#create as HTML<br>
Parameters: {"utf8"=>"✓", 
"authenticity_token"=>"ipxBOLOjx68fwvfmsMG3FecV/q/hPqUHsluBCPN2BeU=",
 "bill"=>{"company"=>"Comcast", "month"=>"April ", 
"year"=>"2013", "dues_attributes"=>{
"0"=>{"amount"=>"30", "person_id"=>"1"}, 
"1"=>{"amount"=>"30", "person_id"=>"2"},
 "2"=>{"amount"=>"30", "person_id"=>"3"}}}, "commit"=>"Create Bill"}

Произошли ли какие-то изменения в Rails 4?

jcanipar
источник
5
Исправление форматирования: params.require (: bill) .permit (: company,: month,: year,: dues_attributes => [: amount,: person_id])
Энди Копли

Ответы:

187

Кажется, произошли изменения в обработке защиты атрибутов, и теперь вы должны занести в белый список параметры в контроллере (вместо attr_accessible в модели), потому что бывший необязательный gem strong_parameters стал частью Rails Core.

Это должно выглядеть примерно так:

class PeopleController < ActionController::Base
  def create
    Person.create(person_params)
  end

private
  def person_params
    params.require(:person).permit(:name, :age)
  end
end

Так params.require(:model).permit(:fields)будет использоваться

а для вложенных атрибутов что-то вроде

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

Более подробную информацию можно найти в документации Ruby edge API и strong_parameters на github или здесь

Thorsten Müller
источник
1
Я изменил свой BillController, чтобы он выглядел так: def bill_params params.require(:bill).permit(:company, :month, :year, :dues_attributes[:amount, :person_id]) end теперь я получаю эту ошибку: нет неявного преобразования символа в целое число
jcanipar
2
Что ж, это помогает поставить двоеточие в нужное место ... Это именно то, что нужно было сделать. Спасибо @ thorsten-muller!
jcanipar
88
НЕ ЗАБЫВАЙТЕ ID !!!! pets_attributes: [:id, :name, :category]В противном случае при редактировании каждый питомец будет создан заново.
Arcolye 03
8
Вам нужно это сделать, Person.create(person_params)иначе он не вызовет метод. Вместо этого вы получите ActiveModel::ForbiddenAttributesError.
andorov
16
Кроме того, если вы хотите удалить элементы из формы, вам также необходимо внести скрытый :_destroyпараметр в белый список . iepets_attributes: [:id, :name, :category, :_destroy]
Pathogen
21

Из документов

To whitelist an entire hash of parameters, the permit! method can be used

params.require(:log_entry).permit!

Вложенные атрибуты имеют форму хеша. В моем приложении у меня есть модель Question.rb, принимающая вложенные атрибуты для модели Answer.rb (где пользователь создает варианты ответа для вопроса, который он создает). В questions_controller я делаю это

  def question_params

      params.require(:question).permit!

  end

В хэше вопроса разрешено все, включая вложенные атрибуты ответа. Это также работает, если вложенные атрибуты имеют форму массива.

Сказав это, мне интересно, есть ли проблема с безопасностью в этом подходе, потому что он в основном разрешает все, что находится внутри хэша, без точного указания, что это такое, что кажется противоречащим цели строгих параметров.

Leahcim
источник
Круто, я не могу явно разрешить параметр диапазона, это сэкономит мне несколько часов.
Bartek Skwira
3
Да, используя .permit! обычно рассматривается как потенциальная проблема безопасности. Вы действительно хотите использовать его, только если пользователь является администратором, но даже в этом случае я бы с осторожностью относился к его использованию.
8bithero
6
Мои вложенные атрибуты тоже находятся в массиве. Это .permit!единственный вариант? Я не могу заставить его работать даже со всеми разрешенными атрибутами модели, потому что он задыхается от массива.
Clifton Labrum
20

или вы можете просто использовать

def question_params

  params.require(:question).permit(team_ids: [])

end
Амит Агарвал
источник
12

На самом деле есть способ просто занести в белый список все вложенные параметры.

params.require(:widget).permit(:name, :description).tap do |whitelisted|
  whitelisted[:position] = params[:widget][:position]
  whitelisted[:properties] = params[:widget][:properties]
end

Этот метод имеет преимущество перед другими решениями. Это позволяет разрешить глубоко вложенные параметры.

В то время как другие решения, такие как:

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

Не.


Источник:

https://github.com/rails/rails/issues/9454#issuecomment-14167664

ничего-специальное здесь
источник
3

Сегодня я столкнулся с той же проблемой, работая над рельсами 4, я смог заставить ее работать, структурировав свои поля fields_for как:

<%= f.select :tag_ids, Tag.all.collect {|t| [t.name, t.id]}, {}, :multiple => true %>

Затем в моем контроллере у меня есть сильные параметры:

private
def post_params
    params.require(:post).permit(:id, :title, :content, :publish, tag_ids: [])
end

Все работает!

Кингсли Иджома
источник
привет, спасибо, @KingsleyIjomah - что, если вы хотите занести в белый список определенные атрибуты детей?
BKSpurgeon
1

Если вы используете поле JSONB, вы должны преобразовать его в JSON с помощью .to_json (ROR)

Воутер Скуфс
источник